Webseite gehackt, Script wird in template eingefügt

    Hallo,


    ich benötige noch einmal Eure Hilfe. Wie an andere Stelle wegen eines anderen Problems mal kurz erwähnt, wurde meine Joomla Webseite wohl gehackt. Der Hack besteht darin, dass in allen templates der Webseite (auch in den nicht-standard Templates) folgender Code in die index.php oder index.html Seite des Templates eingefügt wird:


    firstlady: Schadcode entfernt, keine Werbung für Hacker


    Die verlinkte Seite [..snip ..] ändert sich dabei jedesmal.


    Welche Maßnahmen habe ich bisher unternommen? Ich habe zunächst einmal alle Dateien auf dem Server glöscht, Jooma in der aktuellesten Version 3.6.2 wieder aufgezogen (die Datenbank habe ich dabei nicht gelöscht). Dann ein Update der Datenbank auf die neuste Version gemacht. die Templates breinigt bzw. die Template originaldateien wieder aufgespielt. Wie an andere Stelle schon beschrieben habe ich 2 Komponenten behalten, das Jevent und die Phocagallery von der alten Version. aber auch hier habe ich alte Dateien wieder eingespielt, die noch aus einer sauberen sicherung stammten. Die bereinigungsaktionen haben aber leider nicht gebracht, nach ein paar Tagen ist der Code wieder in allen templates eingefügt.


    Kann mir hier jemand weiterhelfen oder einen Tip geben?


    Danke im Voraus.


    viele Grüße


    andy557

    Hi Andy,


    fest steht, dass du was übersehen hast.
    Was, kann ich dir leider nicht sagen.


    Entweder war was in den JEvents/Phoca Dateien, irgendwas anderes übertragenes..
    oder gibt es benachbarte Installationen auf dem Webspace?
    Wurden sämtliche Passwörter geändert?


    Hast du dich mal mit der Analyse der Accesslogs beschäftigt?


    Gruß


    Pascal

    Hallo,


    also bezüglich benachbarte Installation auf dem Webspace: nein, da ist keine andere Installation drauf. Passwörter habe ich natürlich auch geändert, sorry, hab ich vergessen zu erwähnen. Die Accesslogs habe ich mir allerdings noch nicht angeschaut.


    Zitat von "j!-n"

    Woher weißt du denn, ob das Backup sauber war? Meistens enthält ein altes Backup mindestens die Sicherheitslücke, über die es irgendwann gehackt werden wird.


    Da habe ich mich glaube ich wohl etwas falsch ausgedrückt. Ich habe jeweils die originaldateien wieder aufgespielt. Die Joomla Dateien aus dem download der aktuellen Version und die Dateien der beiden Komponenten aus den Originaldownloads der Komponenten.


    Weiss denn jemand um welche Art von Malware es sich hier handelt oder kennt eine Seite, oder den Namen des Viruses/der Malware so das ich da mal nach einer Lösung speziell dafür suchen kann? Ich hab bei einer google Suche mit teilen des Scriptcodes als Suchbegriff keinen wirklichen Erfolg gehabt... nur diese Seite hier: https://aw-snap.info/articles/malware-of-the-day.php in der das mal erwähnt wird und auch geschrieben wird, das man es wohl schnell wieder weg bekommt, aber nicht genau wie.

    Zitat von andy557


    Da habe ich mich glaube ich wohl etwas falsch ausgedrückt. Ich habe jeweils die originaldateien wieder aufgespielt. Die Joomla Dateien aus dem download der aktuellen Version und die Dateien der beiden Komponenten aus den Originaldownloads der Komponenten.


    Hast du die Verzeichnisse der Coredateien vorher komplett gelöscht, oder nur überschrieben? Leider gibt es keine spezielle Lösung, es gibt manchmal lediglich Muster. Wenn ich Seiten bereinige, fasse ich so gut wie alles an. Die Sache ist, dass On- und Offlinescanner lange nicht jeden Schadcode erkennen können, da er fast immer komplett verschlüsselt ist. Und gegen eine Shell kann man nichts machen, ausser sie zu suchen und zu löschen.

    Hallo


    Wurden auch die Zugangsdaten zum FTP / Kundenbereich und dem Joomla neu gesetzt? Ebenfalls würde ich in diesem Kontext alle Rechner auf denen die Zugangsdaten hinterlegt waren / sind auf eine mögliche Infektion mit einem Trojaner untersuchen. Häufig werden so Zugangsdaten entwendet und direkt per FTP Veränderungen vorgenommen. Die Webseite selbst ist in diesem Kontext nur ein Baustein den es zu untersuchen gilt.


    PS: Du kannst übrigens über eine Auswertung der (Server)Logdateien erkennen, wann und worüber eine Datei erstellt / editiert wurde. Hier würde ich auch ansetzen.


    Gruß Jan

    Hallo,


    einen FTP Zugang zum Webspace gibt es nicht. Zum Hochladen der Dateien wird ein SSH-Zugang genutzt, dieser funktioniert nur mit Key und Passwort. Beides wurde natürlich auch schon ausgetauscht, aber hier habe ich die Einlogdaten geprüft, über SSH hat kein unbefugter Zugriff stattgefunden.


    Das witzige daran ist: das Änderungsdatum der Template Dateien ist nicht das Datum an dem der Schadcode eingeschleust wurde. Das Änderungsdatum ist immer das Datum, an dem ich die Datei das letzte mal geändert habe. Danach bleibt die Datei auch ein paar Tage unverändert, dann ist plötzlich der Schadecode wieder drin, aber das Änderungsdatum der Datei hat sich nicht geändert. Kann das hier über die Funktion vom Joomla-Admin-Backend funktionieren, da kann man ja auch die Template Dateien ändern? Aber da müsste doch auch das Änderungsdatum der Datei geändert werden, wenn man auf diese Weise eine Datei auf dem Webspace ändert.

    Nachdem deine Seite laut Manifest-Datei wohl immer noch mit Joomla 3.6.2 läuft, darfst dich eigentlich nicht wundern. Zumindest ist anzunehmen, dass weitere Hacks dazugekommen sind.


    Engagier jemanden, der dir die Seite endgültig reinigt, wobei es mit der letzten Lücke theoretisch gut möglich ist, dass auch Datenbank-Inhalte betroffen sind.


    Dursuch mal deinen Webspace nach einer Datei jquery.min.php. Aber die zu entfernen wäre ebenfalls nur 1 Symptom entfernen.


    @firstlady Die Seite ist immer noch nicht bereinigt und hat auf allen Seiten den JQuery-Fake-Hack im Quellcode.

    firstlady: Was ich damit sagen will ist das selbst die 6.4 nicht sicher ist. So schnell wie die Hacks auftauchen kann man garnicht updaten. Ist man einmal zu langsam kann man alles frisch machen. Das heißt man verliert in der Regel alle Inhalte. Nicht Funktionen sollten an erster Stelle stehen sondern die Sicherheit.
    Gibt es einer Übsicht aller Hacks der 3.xx Versionen die man abarbeiten kann oder ist es sinnvoll auf ein sichereres System zu wechseln?
    Bei den alten Versionen kam ein Hack relativ selten vor und war meist schnell bereinigt. Ab der 3.. wird es echt übel. Meiner Meinung nach liegt es an der Unübersichtlichkeit des Systems. Nur noch Wenige Dauernutzer blicken da durch. Darum auch die Hinweise auf professionelle Hilfe.
    Bei mir tauchen immer wieder Dateien auf die nicht dahin gehören wie eine javascript.php oder 404.javascript.php
    Trotz 6.4 Version. Vermutlich noch ein Überbleibsel aus einer älteren Version.

    Zitat von joomladummy

    Was ich damit sagen will ist das selbst die 6.4 nicht sicher ist. So schnell wie die Hacks auftauchen kann man garnicht updaten.


    Joomla 3.6.4 ist Sicher. Gehackt wurde nur die Vorgängerversion wenn nicht zeitnah auf Version 3.6.4 upgedatet wurde. Oder Erweiterungen, welche nicht Aktuell waren.


    Zitat von joomladummy

    Gibt es einer Übsicht aller Hacks der 3.xx Versionen die man abarbeiten kann oder ist es sinnvoll auf ein sichereres System zu wechseln?


    Ja natürlich. Die Frage an sich verstehe ich nicht. Auf welches System willst Du wechseln? jedes CMS muss Aktuell gehalten werden und verlangt je nach Erweiterungen viel Arbeit.

    Ich habe Joomla seit vielen Jahren im Einsatz, wie so viele andere auch. Und ohne Probleme.
    Alle CMS, ohne Ausnahme, werden gehackt wenn sie nicht aktuell gehalten werden. Eine Übersicht über Hacks, die man abarbeiten kann, kann es nicht geben. Wie sollte das aussehen?


    Irgendwann ist bei dir jemand eingebrochen.Du räumst hinter dem Einbrecher immer schön auf, aber den Schlüssel hast du ihm gelassen.
    Und die kleinen Einbruchshelfer, die er bei dir versteckt hast, hast du auch nicht gefunden. Nun wunderst du dich, dass er immer wieder kommt.
    Was würdest du in deinem Haus tun?
    Das Schloss austauschen lassen vermutlich. Aber wenn du die Kellertür oder das ausgehebelte Fenster übersehen hast - kommt er wieder. Und wenn du in deinem Haus nicht von Zeit zu Zeit die Schlösser und Fenster überprüfst kann wieder ein Einbruch geschehen.


    Im Web ist es dasselbe. Joomla! macht es dir so leicht wie möglich, ein Klick auf "update" ist nicht wirklich viel verlangt?

    Sorry, habe eben erst gesehen, dass @joomladummy aus welchen Gründen auch immer diesen Thread gekapert hat. Wenn man seine restlichen Beiträge überfliegt, hat er/sie
    a) einen ungenügend konfigurierten Webspace/Server/Joomla im Einsatz und
    b) seit März 2015 keine Updates gemacht und erwatet, dass Hacks durch Updates verschwinden
    c) keine Ahnung von Bereinigungen gehackter CMS oder allgemein, gehackter Webspaces, was einem nachweislich nicht nur unter Joomla passiert, wenn einem die eigene Seite und Sicherheit egal ist.


    Denke, man kann davon ausgehen, dass auch Erweiterungen in der Vergangenheit nicht auf aktuellsten Stand gebracht wurden.


    Müßig...